- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-登錄交換機操作
本章節下載 (1.81 MB)
2.3.2 不同認證方式下Console口登錄方式的屬性配置
2.5 認證方式為Password時Console口登錄方式的配置
2.6 認證方式為Scheme時Console口登錄方式的配置
3.3 認證方式為Password時Telnet登錄方式的配置
4.1 通過Console口利用Modem撥號進行遠程登錄簡介
用戶可以通過以下幾種方式登錄S5100-SI/EI係列以太網交換機:
l
通過Console口進行本地登錄
l
通過以太網端口利用Telnet或SSH進行本地或遠程登錄
l
通過Console口利用Modem撥號進行遠程登錄
l
通過WEB網管登錄
l
通過NMS(Network Management Station,網管工作站)登錄
& 說明:
在H3C係列以太網交換機中,AUX口(Auxiliary port,輔助端口)和Console口是同一個端口,以下稱為Console口,與其對應的用戶界麵類型隻有AUX用戶界麵類型。
S5100-SI/EI係列以太網交換機支持兩種用戶界麵:AUX用戶界麵、VTY用戶界麵。
l
AUX用戶界麵:係統提供的通過Console口登錄的視圖。Console口是一種線設備端口。
l
VTY(Virtual Type Terminal,虛擬類型終端)用戶界麵:係統提供的通過VTY方式登錄的視圖。VTY口屬於邏輯終端線,用於對設備進行Telnet或SSH訪問。
|
用戶界麵 |
對應用戶 |
使用的交換機端口類型 |
說明 |
|
AUX用戶界麵 |
通過Console口登錄的用戶 |
Console口 |
每台交換機隻能有1個AUX用戶 |
|
VTY用戶界麵 |
Telnet用戶、SSH用戶 |
以太網端口 |
每台交換機最多可以有5個VTY用戶 |
用戶界麵的編號有兩種方式:絕對編號方式和相對編號方式。
(1)
絕對編號方式,遵守的規則如下:
l
AUX用戶界麵編號排在第一位,為0;
l
VTY用戶界麵編號排在AUX用戶界麵之後。第一個VTY用戶界麵的絕對編號為1,第二個VTY用戶界麵的絕對編號為2,依此類推。
(2)
相對編號的形式是:用戶界麵類型+編號。遵守的規則如下:
l
AUX用戶界麵的編號:AUX0;
l
VTY用戶界麵的編號:第一個為VTY0,第二個為VTY1,依此類推。
|
操作 |
命令 |
說明 |
|
鎖住當前用戶界麵 |
lock |
可選 在用戶視圖下執行 缺省情況下,不鎖住當前用戶界麵 |
|
設置在用戶界麵之間傳遞消息 |
send { all | number | type number } |
可選 在用戶視圖下執行 |
|
釋放指定的用戶界麵 |
free user-interface [ type ] number |
可選 在用戶視圖下執行 |
|
進入係統視圖 |
system-view |
- |
|
配置登錄交換機時的顯示信息 |
header [ incoming | legal | login | shell ] text |
可選 缺省情況下,沒有配置顯示信息 |
|
配置交換機的係統名 |
sysname string |
可選 缺省情況下,係統名為H3C |
|
配置用戶登錄時顯示版權聲明提示信息 |
copyright-info enable |
可選 缺省情況下,用戶登錄時終端顯示版權聲明提示信息 |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
顯示用戶界麵的使用信息 |
display users [ all ] |
可選 display命令可以在任意視圖下執行 |
|
顯示用戶界麵的物理屬性和部分配置 |
display user-interface [ type number | number ] |
|
|
顯示WEB用戶的相關信息 |
display web users |
通過交換機Console口進行本地登錄是登錄交換機的最基本的方式,也是配置通過其他方式登錄交換機的基礎。缺省情況下,S5100-SI/EI係列以太網交換機隻能通過Console口進行本地登錄。
交換機Console口的缺省配置如下。
表2-1 交換機Console口缺省配置
|
屬性 |
缺省配置 |
|
傳輸速率 |
9600bit/s |
|
流控方式 |
不進行流控 |
|
校驗方式 |
不進行校驗 |
|
停止位 |
1 |
|
數據位 |
8 |
用戶終端的通信參數配置要和交換機Console口的配置保持一致,才能通過Console口登錄到以太網交換機上。
用戶登錄到交換機上後,可以對AUX用戶界麵進行相關的配置,請參見2.3 配置Console口登錄方式的屬性。
第一步:如圖2-1所示,建立本地配置環境,隻需將PC機(或終端)的串口通過配置電纜與以太網交換機的Console口連接。
圖2-1 通過Console口搭建本地配置環境
第二步:在PC機上運行終端仿真程序(如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超級終端等,以下配置以Windows XP為例),選擇與交換機相連的串口,設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控,如圖2-2至圖2-4所示。
第三步:以太網交換機上電,終端上顯示設備自檢信息,自檢結束後提示用戶鍵入回車,之後將出現命令行提示符(如<H3C>),如圖2-5所示。
第四步:鍵入命令,配置以太網交換機或查看以太網交換機運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
Console口登錄方式的公共屬性配置,如表2-2所示。
表2-2 Console口登錄方式公共屬性配置
|
Console口登錄方式屬性配置 |
說明 |
|
|
配置Console口屬性 |
傳輸速率 |
可選 缺省情況下,Console口使用的傳輸速率為9600bit/s |
|
校驗方式 |
可選 缺省情況下,Console口的校驗方式為none,即不進行校驗 |
|
|
停止位 |
可選 缺省情況下,Console口的停止位為1 |
|
|
數據位 |
可選 缺省情況下,Console口支持的數據位為8位 |
|
|
AUX用戶界麵配置 |
AUX界麵登錄的用戶可以訪問的命令級別 |
可選 缺省情況下,AUX界麵登錄的用戶可以訪問的命令級別為3級 |
|
終端屬性配置 |
啟動終端服務功能 |
可選 缺省情況下,所有用戶界麵上啟動終端服務 |
|
終端屏幕一屏顯示的行數 |
可選 缺省情況下,一屏可顯示24行 |
|
|
曆史命令緩衝區大小 |
可選 缺省情況下,可存放10條曆史命令 |
|
|
用戶界麵的超時時間 |
可選 缺省情況下,用戶超時斷開連接的時間為10分鍾 |
|
注意:
改變Console口屬性後會立即生效,所以通過Console口登錄來配置Console口屬性可能在配置過程中發生連接中斷,建議通過其他登錄方式來配置Console口屬性。若用戶需要通過Console口再次登錄交換機,需要改變PC機上運行的終端仿真程序的相應配置,使之與交換機上的配置保持一致,如圖2-4所示。
不同的認證方式下,Console口登錄方式需要進行的配置不同,具體配置如表2-3所示。
表2-3 不同認證方式下Console口登錄方式的屬性配置
|
認證方式 |
Console口登錄方式的屬性配置 |
說明 |
|
|
None |
配置公共屬性 |
配置Console口登錄方式的公共屬性 |
可選 具體內容參見表2-2 |
|
Password |
配置口令 |
配置本地驗證口令 |
必選 |
|
配置公共屬性 |
配置Console口登錄方式的公共屬性 |
可選 具體內容參見表2-2 |
|
|
Scheme |
配置采用本地認證或者到遠端RADIUS服務器上認證 |
通過交換機的AAA配置可以設置對用戶采用本地認證還是到RADIUS服務器上認證 |
可選 缺省情況下,交換機采用本地認證的方式 具體配置請參見“AAA”部分 |
|
配置用戶名和密碼 |
配置本地或RADIUS端用戶名和口令認證 |
必選 l 本地用戶名和口令的設置在交換機上完成 l RADIUS端用戶名和口令的設置在RADIUS服務器上進行,詳細內容請參見RADIUS服務器的隨機指導書 |
|
|
AUX用戶管理 |
設置AUX用戶的服務類型 |
必選 |
|
|
配置公共屬性 |
配置Console口登錄方式的公共屬性 |
可選 具體內容參見表2-2 |
|
& 說明:
改變Console口登錄方式的認證方式後,該認證方式的設置不會立即生效。用戶需要退出命令行接口後重新登錄,該設置才會生效。
表2-4 認證方式為None時Console口登錄方式的配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux 0 |
- |
|
|
設置登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,用戶通過Console口(AUX用戶界麵)登錄不需要進行認證 |
|
|
配置Console口的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,Console口使用的傳輸速率為9600bit/s |
|
配置校驗方式 |
parity { even | none | odd } |
可選 缺省情況下,Console口的校驗方式為none,即不進行校驗 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,Console口的停止位為1 |
|
|
配置數據位 |
databits { 7 | 8 } |
可選 缺省情況下,Console口的數據位為8位 |
|
|
設置從用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從AUX用戶界麵登錄後可以訪問的命令級別為3級,從VTY用戶界麵登錄後可以訪問的命令級別為0級 |
|
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
交換機已經被配置為允許用戶通過Telnet方式登錄,且用戶級別為管理級(3級)。當前登錄用戶需要對通過Console口(AUX用戶界麵)登錄的用戶進行如下限定:
l
設置通過Console口登錄交換機的用戶不需要進行認證
l
設置從AUX用戶界麵登錄後可以訪問的命令級別為2級
l
設置Console口使用的傳輸速率為19200bit/s
l
設置終端屏幕的一屏顯示30行命令
l
設置曆史命令緩衝區可存放20條命令
l
設置AUX用戶界麵的超時時間為6分鍾
圖2-6 配置認證方式為None的AUX用戶界麵屬性的組網圖
# 進入係統視圖。
<H3C> system-view
# 進入AUX用戶界麵視圖。
[H3C] user-interface aux 0
# 設置通過Console口登錄交換機的用戶不需要進行認證。
[H3C-ui-aux0] authentication-mode none
# 設置從AUX用戶界麵登錄後可以訪問的命令級別為2級。
[H3C-ui-aux0] user privilege level 2
# 設置Console口使用的傳輸速率為19200bit/s。
[H3C-ui-aux0] speed 19200
# 設置終端屏幕的一屏顯示30行命令。
[H3C-ui-aux0] screen-length 30
# 設置曆史命令緩衝區可存放20條命令。
[H3C-ui-aux0] history-command max-size 20
# 設置AUX用戶界麵的超時時間為6分鍾。
[H3C-ui-aux0] idle-timeout 6
完成上述配置後,用戶需要改變PC機上運行的終端仿真程序的相應配置,如圖2-4所示,使之與交換機上的配置保持一致,才能確保正常登錄。
表2-5 認證方式為Password時Console口登錄方式的配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
進入AUX用戶界麵視圖 |
user-interface aux 0 |
- |
|
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 缺省情況下,用戶通過Console口(AUX用戶界麵)登錄不需要進行驗證 |
|
|
設置本地驗證的口令 |
set authentication password { cipher
| simple
} password |
必選 |
|
|
配置Console口的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,Console口使用的傳輸速率為9600bit/s |
|
配置校驗方式 |
parity { even | none | odd } |
可選 缺省情況下,Console口的校驗方式為none,即不進行校驗 |
|
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,Console口的停止位為1 |
|
|
配置數據位 |
databits { 7 | 8 } |
可選 缺省情況下,Console口支持的數據位為8位 |
|
|
設置從用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從Console口登錄後可以訪問的命令級別為3級 |
|
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
|
設置曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
交換機已經被配置為允許用戶通過Telnet方式登錄,且用戶級別為管理級(3級)。當前登錄用戶需要對通過Console口(AUX用戶界麵)登錄的用戶進行如下限定:
l
設置通過Console口登錄交換機的用戶進行Password認證
l
設置用戶的認證口令為明文方式,口令為123456
l
設置從AUX用戶界麵登錄後可以訪問的命令級別為2級
l
設置Console口使用的傳輸速率為19200bit/s
l
設置終端屏幕的一屏顯示30行命令
l
設置曆史命令緩衝區可存放20條命令
l
設置AUX用戶界麵的超時時間為6分鍾
圖2-7 配置認證方式為Password的AUX用戶界麵屬性的組網圖
# 進入係統視圖。
<H3C> system-view
# 進入AUX用戶界麵視圖。
[H3C] user-interface aux 0
# 設置通過Console口登錄交換機的用戶進行Password認證。
[H3C-ui-aux0] authentication-mode password
# 設置用戶的認證口令為明文方式,口令為123456。
[H3C-ui-aux0] set authentication password simple 123456
# 設置從AUX用戶界麵登錄後可以訪問的命令級別為2級。
[H3C-ui-aux0] user privilege level 2
# 設置Console口使用的傳輸速率為19200bit/s。
[H3C-ui-aux0] speed 19200
# 設置終端屏幕的一屏顯示30行命令。
[H3C-ui-aux0] screen-length 30
# 設置曆史命令緩衝區可存放20條命令。
[H3C-ui-aux0] history-command max-size 20
# 設置AUX用戶界麵的超時時間為6分鍾。
[H3C-ui-aux0] idle-timeout 6
完成上述配置後,用戶需要改變PC機上運行的終端仿真程序的相應配置,如圖2-4所示,使之與交換機上的配置保持一致,才能確保正常登錄。
表2-6 認證方式為Scheme時Console口登錄方式的配置
|
操作 |
命令 |
說明 |
||
|
進入係統視圖 |
system-view |
- |
||
|
配置交換機采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用radius或者hwtacacs方式認證,則需進行如下配置: l 交換機上的配置請參見“AAA”部分 l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
|
配置域使用的AAA方案 |
scheme { local | none | radius-scheme radius-scheme-name
[ local ] | hwtacacs-scheme hwtacacs-scheme-name
[ local ] } |
|||
|
退出至係統視圖 |
quit |
|||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
必選 缺省情況下,無本地用戶 |
||
|
設置本地用戶認證口令 |
password { cipher | simple } password |
必選 |
||
|
設置AUX用戶的服務類型 |
service-type terminal [ level level ] |
必選 |
||
|
退出至係統視圖 |
quit |
- |
||
|
進入AUX用戶界麵視圖 |
user-interface aux 0 |
- |
||
|
設置登錄用戶的認證方式為本地或遠端用戶名和口令認證 |
authentication-mode scheme [ command-authorization ] |
必選 采用本地認證還是遠端認證視用戶的AAA方案配置而定 缺省情況下,用戶通過Console口(AUX用戶界麵)登錄不需要進行驗證 |
||
|
配置Console口的屬性 |
配置傳輸速率 |
speed speed-value |
可選 缺省情況下,Console口支持的傳輸速率為9600bit/s |
|
|
配置校驗方式 |
parity { even | none | odd } |
可選 缺省情況下,Console口的校驗方式為none,即不進行校驗 |
||
|
配置停止位 |
stopbits { 1 | 1.5 | 2 } |
可選 缺省情況下,Console口的停止位為1 |
||
|
配置數據位 |
databits { 7 | 8 } |
可選 缺省情況下,Console口支持的數據位為8位 |
||
|
設置從用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從Console口登錄後可以訪問的命令級別為3級 |
||
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
||
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
||
|
設置曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區的大小為10,即可存放10條曆史命令 |
||
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開idle-timeout 0表示關閉用戶界麵的超時功能 |
||
需要注意的是,用戶采用Scheme認證方式登錄以太網交換機時,其所能訪問的命令級別由service-type terminal [ level level ]命令中定義的用戶級別決定。
交換機已經被配置為允許用戶通過Telnet方式登錄,且用戶級別為管理級(3級)。當前登錄用戶需要對通過Console口(AUX用戶界麵)登錄的用戶進行如下限定:
l
設置本地用戶的用戶名為guest
l
設置本地用戶的認證口令為明文方式,口令為123456
l
設置本地用戶的服務類型為Terminal且命令級別為2級
l
設置通過Console口登錄交換機的用戶進行Scheme認證
l
設置Console口使用的傳輸速率為19200bit/s
l
設置終端屏幕的一屏顯示30行命令
l
設置曆史命令緩衝區可存放20條命令
l
設置AUX用戶界麵的超時時間為6分鍾
圖2-8 配置認證方式為Scheme的AUX用戶界麵屬性的組網圖
# 進入係統視圖。
<H3C> system-view
# 創建本地用戶guest,並進入本地用戶視圖。
[H3C] local-user guest
# 設置本地用戶的認證口令為明文方式,口令為123456。
[H3C-luser-guest] password simple 123456
# 設置本地用戶的服務類型為Terminal且用戶級別為2。
[H3C-luser-guest] service-type terminal level 2
[H3C-luser-guest] quit
# 進入AUX用戶界麵視圖。
[H3C] user-interface aux 0
# 設置通過Console口登錄交換機的用戶進行Scheme認證。
[H3C-ui-aux0] authentication-mode scheme
# 設置Console口使用的傳輸速率為19200bit/s。
[H3C-ui-aux0] speed 19200
# 設置終端屏幕的一屏顯示30行命令。
[H3C-ui-aux0] screen-length 30
# 設置曆史命令緩衝區可存放20條命令。
[H3C-ui-aux0] history-command max-size 20
# 設置AUX用戶界麵的超時時間為6分鍾。
[H3C-ui-aux0] idle-timeout 6
完成上述配置後,用戶需要改變PC機上運行的終端仿真程序的相應配置,如圖2-4所示,使之與交換機上的配置保持一致,才能確保正常登錄。
S5100-SI/EI係列以太網交換機支持Telnet功能,用戶可以通過Telnet方式對交換機進行遠程管理和維護。
交換機和Telnet用戶端都要進行相應的配置,才能保證通過Telnet方式正常登錄交換機。
用戶也可以采用SSH登錄方式登錄交換機。SSH登錄方式是在Telnet的基礎上封裝了安全外殼,關於SSH提供的安全功能配置,請參見“SSH”部分的介紹。
表3-1 通過Telnet登錄交換機需要具備的條件
|
對象 |
需要具備的條件 |
|
交換機 |
配置交換機VLAN的IP地址,交換機與Telnet用戶間路由可達(具體配置請參見“IP地址-IP性能”、“路由協議”部分中的內容) |
|
Telnet用戶 |
運行了Telnet程序 |
|
獲取要登錄交換機VLAN的IP地址 |
& 說明:
使用IPv6協議通過Telnet方式登錄到交換機與使用IPv4協議類似,詳細情況請參見“IPv6管理”部分的介紹。
Telnet登錄方式的公共屬性配置,如表3-2所示。
表3-2 Telnet登錄方式的公共屬性配置
|
Telnet登錄方式的屬性配置 |
說明 |
|
|
VTY用戶界麵配置 |
VTY界麵登錄的用戶可以訪問的命令級別 |
可選 缺省情況下,VTY界麵登錄的用戶可以訪問的命令級別為0級 |
|
用戶界麵支持的協議 |
可選 缺省情況下,支持Telnet和SSH協議 |
|
|
設置從用戶界麵登錄後自動執行的命令 |
可選 缺省情況下,通過VTY用戶界麵登錄後無可自動執行的命令 |
|
|
VTY用戶終端屬性配置 |
啟動終端服務功能 |
可選 缺省情況下,所有用戶界麵上啟動終端服務 |
|
終端屏幕的一屏行數 |
可選 缺省情況下,一屏可顯示24行 |
|
|
曆史命令緩衝區大小 |
可選 缺省情況下,可存放10條曆史命令 |
|
|
用戶界麵的超時時間 |
可選 缺省情況下,用戶超時斷開連接的時間為10分鍾 |
|
不同的認證方式下,Telnet登錄方式需要進行的配置不同,具體配置如表3-3所示。
表3-3 不同認證方式下Telnet登錄方式的屬性配置
|
認證方式 |
Telnet登錄方式的屬性配置 |
說明 |
|
|
None |
配置公共屬性 |
配置Telnet登錄方式的公共屬性 |
可選 具體內容參見表3-2 |
|
Password |
配置口令 |
配置本地驗證口令 |
必選 |
|
配置公共屬性 |
配置Telnet登錄方式的公共屬性 |
可選 具體內容參見表3-2 |
|
|
Scheme |
配置采用本地認證或者到遠端RADIUS服務器上認證 |
通過交換機的AAA配置可以設置對用戶采用本地認證還是到RADIUS服務器上認證 |
可選 缺省情況下,交換機采用本地認證的方式 具體配置請參見“AAA”部分 |
|
配置用戶名和密碼 |
配置本地或RADIUS端用戶名和口令認證 |
必選 l 本地用戶名和口令的設置在交換機上完成 l 遠端用戶名和口令的設置在RADIUS服務器上進行,詳細內容請參見RADIUS服務器的隨機指導書 |
|
|
VTY用戶管理 |
設置VTY用戶的服務類型 |
必選 |
|
|
配置公共屬性 |
配置Telnet登錄方式的公共屬性 |
可選 具體內容參見表3-2 |
|
& 說明:
為防止惡意用戶對未使用SOCKET的攻擊,提高交換機的安全性,Telnet及SSH服務對應的TCP 23及TCP 22端口會在進行相應的配置後開啟/關閉:
l 當認證方式為none時,TCP 23端口打開,TCP 22端口關閉;
l 當認證方式為password且已經設置了相應的密碼後,TCP 23端口打開,TCP 22端口關閉;
l 當認證方式為scheme時,如果支持的協議指定為telnet,則TCP 23端口打開;如果支持的協議指定為ssh,則TCP 22端口打開;如果支持的協議指定為all,則兩端口全打開。
表3-4 認證方式為None時Telnet登錄方式的配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置VTY登錄用戶的認證方式為不認證 |
authentication-mode none |
必選 缺省情況下,VTY用戶登錄後需要進行終端驗證 |
|
設置從VTY用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從VTY用戶界麵登錄後可以訪問的命令級別為0級 |
|
配置VTY用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,交換機同時支持Telnet和SSH協議 |
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command text |
可選 缺省情況下,通過VTY用戶界麵登錄後無可自動執行的命令 |
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
設置交換機曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
設置VTY用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
需要注意的是,用戶采用None認證方式登錄以太網交換機時,其所能訪問的命令級別取決於命令user privilege level level中level參數定義的級別。
當前用戶通過Console口(AUX用戶界麵)登錄到交換機,且用戶級別為管理級(3級)。當前用戶要對通過VTY0用戶界麵登錄的Telnet用戶進行如下限定:
l
設置通過VTY0口登錄交換機的Telnet用戶不需要進行認證
l
設置從VTY0用戶界麵登錄後可以訪問的命令級別為2級
l
設置VTY0用戶界麵支持Telnet協議
l
設置VTY0用戶的終端屏幕的一屏顯示30行命令
l
設置VTY0用戶曆史命令緩衝區可存放20條命令
l
設置VTY0用戶界麵的超時時間為6分鍾
圖3-1 配置認證方式為None的Telnet用戶的組網圖
# 進入係統視圖。
<H3C> system-view
# 進入VTY0用戶界麵視圖。
[H3C] user-interface vty 0
# 設置通過VTY0用戶界麵登錄交換機的Telnet用戶不需要進行認證。
[H3C-ui-vty0] authentication-mode none
# 設置從VTY0用戶界麵登錄後可以訪問的命令級別為2級。
[H3C-ui-vty0] user privilege level 2
# 設置VTY0用戶界麵支持Telnet協議。
[H3C-ui-vty0] protocol inbound telnet
# 設置VTY0用戶的終端屏幕的一屏顯示30行命令。
[H3C-ui-vty0] screen-length 30
# 設置VTY0用戶曆史命令緩衝區可存放20條命令。
[H3C-ui-vty0] history-command max-size 20
# 設置VTY0用戶界麵的超時時間為6分鍾。
[H3C-ui-vty0] idle-timeout 6
表3-5 認證方式為Password時Telnet登錄方式的配置
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
設置登錄用戶的認證方式為本地口令認證 |
authentication-mode password |
必選 |
|
設置本地驗證的口令 |
set authentication password { cipher
| simple
} password |
必選 |
|
設置從用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從VTY用戶界麵登錄後可以訪問的命令級別為0級 |
|
配置用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,交換機同時支持Telnet和SSH協議 |
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command text |
可選 缺省情況下,通過VTY用戶界麵登錄後無可自動執行的命令 |
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
設置終端屏幕一屏顯示的行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏顯示的行數為24行 screen-length 0表示關閉分屏顯示功能 |
|
設置交換機曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區的大小為10,即可存放10條曆史命令 |
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
需要注意的是,用戶采用Password認證方式登錄以太網交換機時,其所能訪問的命令級別取決於命令user privilege level level中level參數定義的級別。
當前用戶通過Console口(AUX用戶界麵)登錄到交換機,且用戶級別為管理級(3級)。當前用戶要對通過VTY0用戶界麵登錄的Telnet用戶進行如下限定:
l
設置通過VTY0口登錄交換機的Telnet用戶進行Password認證
l
設置用戶的認證口令為明文方式,口令為123456
l
設置從VTY0用戶界麵登錄後可以訪問的命令級別為2級
l
設置VTY0用戶界麵支持Telnet協議
l
設置VTY0用戶的終端屏幕的一屏顯示30行命令
l
設置VTY0用戶曆史命令緩衝區可存放20條命令
l
設置VTY0用戶界麵的超時時間為6分鍾
圖3-2 配置認證方式為Password的Telnet用戶的組網圖
# 進入係統視圖。
<H3C> system-view
# 進入VTY0用戶界麵視圖。
[H3C] user-interface vty 0
# 設置通過VTY0口登錄交換機的用戶進行Password認證。
[H3C-ui-vty0] authentication-mode password
# 設置用戶的認證口令為明文方式,口令為123456。
[H3C-ui-vty0] set authentication password simple 123456
# 設置從VTY0用戶界麵登錄後可以訪問的命令級別為2級。
[H3C-ui-vty0] user privilege level 2
# 設置VTY0用戶界麵支持Telnet協議。
[H3C-ui-vty0] protocol inbound telnet
# 設置VTY0用戶的終端屏幕的一屏顯示30行命令。
[H3C-ui-vty0] screen-length 30
# 設置VTY0用戶曆史命令緩衝區可存放20條命令。
[H3C-ui-vty0] history-command max-size 20
# 設置VTY0用戶界麵的超時時間為6分鍾。
[H3C-ui-vty0] idle-timeout 6
表3-6 認證方式為Scheme時Telnet登錄方式的配置
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
配置交換機采用的認證方案 |
進入ISP域視圖 |
domain domain-name |
可選 缺省情況下,係統使用的AAA方案為local 如果采用local認證,則必須進行後續的本地用戶配置;如果采用radius或者hwtacacs方式認證,則需進行如下配置: l 交換機上的配置請參見“AAA”部分 l AAA服務器上需要配置相關的用戶名和密碼,具體請參見服務器的指導書 |
|
配置域使用的AAA方案 |
scheme { local | none | radius-scheme radius-scheme-name
[ local ] | hwtacacs-scheme hwtacacs-scheme-name
[ local ] } |
||
|
退出至係統視圖 |
quit |
||
|
創建本地用戶(進入本地用戶視圖) |
local-user user-name |
缺省情況下,無本地用戶 |
|
|
設置本地認證口令 |
password { cipher | simple } password |
必選 |
|
|
設置VTY用戶的服務類型 |
service-type telnet [ level level ] |
必選 |
|
|
退出至係統視圖 |
quit |
- |
|
|
進入一個或多個VTY用戶界麵視圖 |
user-interface vty first-number [ last-number ] |
- |
|
|
設置登錄用戶的認證方式為本地或遠端用戶名和口令認證 |
authentication-mode scheme [ command-authorization ] |
必選 究竟是采用本地認證還是遠端認證視用戶的AAA方案配置而定 缺省情況下采用本地認證方式 |
|
|
設置從用戶界麵登錄後可以訪問的命令級別 |
user privilege level level |
可選 缺省情況下,從VTY用戶界麵登錄後可以訪問的命令級別為0級 |
|
|
配置用戶界麵支持的協議 |
protocol inbound { all | ssh | telnet } |
可選 缺省情況下,交換機同時支持Telnet和SSH協議 |
|
|
設置從用戶界麵登錄後自動執行的命令 |
auto-execute command text |
可選 缺省情況下,通過VTY用戶界麵登錄後無可自動執行的命令 |
|
|
啟動終端服務 |
shell |
可選 缺省情況下,在所有的用戶界麵上啟動終端服務 |
|
|
設置終端屏幕的一屏行數 |
screen-length screen-length |
可選 缺省情況下,終端屏幕一屏行數為24行 screen-length 0表示關閉分屏功能 |
|
|
設置交換機曆史命令緩衝區大小 |
history-command max-size
value |
可選 缺省情況下,曆史緩衝區容量為10,即可存放10條曆史命令 |
|
|
設置用戶界麵的超時時間 |
idle-timeout minutes [ seconds ] |
可選 缺省情況下,所有的用戶界麵的超時時間為10分鍾 如果10分鍾內某用戶界麵沒有用戶進行操作,則該用戶界麵將自動斷開 idle-timeout 0表示關閉用戶界麵的超時功能 |
|
需要注意的是,用戶采用Scheme認證方式登錄以太網交換機時,其所能訪問的命令級別取決於命令1、命令2所配置的用戶登錄後可訪問的命令級別的組合,具體情況如表3-7所示。
l
命令1:user privilege level level
l
命令2:service-type { ftp | lan-access | { ssh | telnet | terminal }* [ level level ] }
表3-7 用戶采用Scheme認證方式登錄以太網交換機時可訪問的命令優先級
|
前提條件 |
用戶登錄後可訪問命令優先級 |
||
|
用戶登錄認證方式 |
用戶類別 |
命令配置情況 |
|
|
authentication-mode scheme [ command-authorization
] |
VTY登錄用戶(采用AAA-RADIUS認證或者本地認證) |
未設置命令1,命令2未設置用戶可訪問命令級別 |
0級 |
|
未設置命令1,命令2已設置用戶可訪問命令級別 |
由命令2決定 |
||
|
已設置命令1,命令2未設置用戶可訪問命令級別 |
0級 |
||
|
已設置命令1,命令2已設置用戶可訪問命令級別 |
由命令2決定 |
||
|
VTY登錄用戶(采用SSH的RSA認證模式) |
未設置命令1,命令2未設置用戶可訪問命令級別 |
0級 |
|
|
未設置命令1,命令2已設置用戶可訪問命令級別 |
|||
|
已設置命令1,命令2未設置用戶可訪問命令級別 |
由命令1決定 |
||
|
已設置命令1,命令2已設置用戶可訪問命令級別 |
|||
|
VTY登錄用戶(采用SSH的password認證模式) |
未設置命令1,命令2未設置用戶可訪問命令級別 |
0級 |
|
|
未設置命令1,命令2已設置用戶可訪問命令級別 |
由命令2決定 |
||
|
已設置命令1,命令2未設置用戶可訪問命令級別 |
0級 |
||
|
已設置命令1,命令2已設置用戶可訪問命令級別 |
由命令2決定 |
||
& 說明:
有關AAA、RADIUS、SSH的詳細內容,請參見“AAA”和“SSH”部分的介紹。
當前用戶通過Console口(AUX用戶界麵)登錄到交換機,且用戶級別為管理級(3級)。當前用戶要對通過VTY0用戶界麵登錄的Telnet用戶進行如下限定:
l
設置本地用戶的用戶名為guest
l
設置本地用戶的認證口令為明文方式,口令為123456
l
設置VTY用戶的服務類型為Telnet且命令級別為2級
l
設置通過VTY0口登錄交換機的Telnet用戶進行Scheme認證
l
設置VTY0用戶界麵僅支持Telnet協議
l
設置VTY0用戶的終端屏幕的一屏顯示30行命令
l
設置VTY0用戶曆史命令緩衝區可存放20條命令
l
設置VTY0用戶界麵的超時時間為6分鍾
圖3-3 配置認證方式為Scheme的Telnet用戶的組網圖
# 進入係統視圖。
<H3C> system-view
# 創建本地用戶guest,並進入本地用戶視圖。
[H3C] local-user guest
# 設置本地用戶的認證口令為明文方式,口令為123456。
[H3C-luser-guest] password simple 123456
# 設置VTY用戶的服務類型為Telnet且命令級別為2級。
[H3C-luser-guest] service-type telnet level 2
[H3C-luser-guest] quit
# 進入VTY0用戶界麵視圖。
[H3C] user-interface vty 0
# 設置通過VTY0口登錄交換機的Telnet用戶進行Scheme認證。
[H3C-ui-vty0] authentication-mode scheme
# 設置VTY0用戶界麵支持Telnet協議。
[H3C-ui-vty0] protocol inbound telnet
# 設置VTY0用戶的終端屏幕的一屏顯示30行命令。
[H3C-ui-vty0] screen-length 30
# 設置VTY0用戶曆史命令緩衝區可存放20條命令。
[H3C-ui-vty0] history-command max-size 20
# 設置VTY0用戶界麵的超時時間為6分鍾。
[H3C-ui-vty0] idle-timeout 6
第一步:通過Console口正確配置以太網交換機VLAN1接口的IP地址(VLAN1為交換機的缺省VLAN)。
l
通過Console口搭建配置環境。如圖3-4所示,建立本地配置環境,隻需將PC機(或終端)的串口通過配置電纜與以太網交換機的Console口連接。
圖3-4 通過Console口搭建本地配置環境
l
在PC機上運行終端仿真程序(如Windows3.1的Terminal、Windows95/Windows98/Windows NT/ Windows2000/ Windows XP的超級終端),設置終端通信參數:傳輸速率為9600bit/s、8位數據位、1位停止位、無校驗和無流控。
l
以太網交換機上電,PC機終端上將顯示以太網交換機自檢信息,自檢結束後提示用戶鍵入回車,之後將出現命令行提示符<H3C>,如圖3-5所示。
l
通過Console口在超級終端中執行以下命令,配置以太網交換機VLAN1的IP地址為202.38.160.92/24。
<H3C> system-view
[H3C] interface Vlan-interface 1
[H3C-Vlan-interface1] ip address 202.38.160.92 255.255.255.0
第二步:在通過Telnet登錄以太網交換機之前,針對用戶需要的不同認證方式,在交換機上進行相應配置。請參見3.2 認證方式為None時Telnet登錄方式的配置、3.3 認證方式為Password時Telnet登錄方式的配置、3.4 認證方式為Scheme時Telnet登錄方式的配置的相關描述。
第三步:如圖3-6所示,建立配置環境,將PC機以太網口通過網絡與以太網交換機VLAN1下的以太網口連接,確保PC機和VLAN1接口之間路由可達。
第四步:在PC機上運行Telnet程序,輸入交換機VLAN1的IP地址,如圖3-7所示。
第五步:如果配置驗證方式為Password,則終端上顯示“Login authentication”,並提示用戶輸入已設置的登錄口令,口令輸入正確後則出現命令行提示符(如<H3C>)。如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到以太網交換機的用戶過多,則請稍候再連接(H3C係列以太網交換機最多允許5個Telnet用戶同時登錄)。
第六步:使用相應命令配置以太網交換機或查看以太網交換機運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
& 說明:
l 通過Telnet配置交換機時,請不要刪除或修改交換機上對應本Telnet連接的交換機上的VLAN接口的IP地址,否則會導致Telnet連接斷開。
l Telnet用戶通過口令認證登錄交換機時,缺省可以訪問命令級別為0級的命令。有關命令級別的描述請參見“命令行接口”中的命令行分級/命令視圖部分。
用戶可以從一台交換機Telnet到另一台交換機上,對其進行配置。本端交換機作為Telnet客戶端,對端交換機作為Telnet服務器端。如果兩台交換機相連的端口在同一局域網內,則其IP地址必須配置在同一網段;否則,兩台交換機必須路由可達。
配置環境如圖3-8所示,用戶Telnet到一台以太網交換機後,可以輸入telnet命令再登錄其它以太網交換機,對其進行配置管理。
圖3-8 通過交換機登錄到其它交換機
第一步:針對用戶需要的不同認證方式,在作為Telnet Server的交換機上進行相應配置。請參見3.2 認證方式為None時Telnet登錄方式的配置、3.3 認證方式為Password時Telnet登錄方式的配置、3.4 認證方式為Scheme時Telnet登錄方式的配置的相關描述。
第二步:用戶登錄到作為Telnet Client的以太網交換機。
第三步:在Telnet Client的以太網交換機上作如下操作:
<H3C> telnet xxxx
其中xxxx是作為Telnet Server的以太網交換機的主機名或IP地址,若為主機名,則需是已通過ip host命令配置的主機名。
第四步:登錄後,出現命令行提示符(如<H3C>),如果出現“All user interfaces are used, please try later!”的提示,表示當前Telnet到以太網交換機的用戶過多,則請稍候再連接。
第五步:使用相應命令配置以太網交換機或查看以太網交換機運行狀態。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
網絡管理員可以通過遠端交換機的Console口,利用一對Modem和PSTN(Public Switched Telephone Network,公共電話交換網)對遠端的交換機進行遠程維護。這種方式一般適用於在網絡中斷的情況下,利用PSTN網絡對交換機進行遠程管理。
交換機和網絡管理員端都要進行相應的配置,才能保證通過Console口利用Modem撥號進行遠程登錄交換機。
表4-1 通過Console口利用Modem撥號進行遠程登錄需要具備的條件
|
配置對象 |
需要具備的條件 |
|
網絡管理員端 |
PC終端與Modem正確連接 |
|
Modem與可正常使用的電話線正確相連 |
|
|
獲取了遠程交換機端Console口所連Modem上對應的電話號碼 |
|
|
遠程交換機端 |
Console口與Modem正確連接 |
|
在Modem上進行了正確的配置 |
|
|
Modem與可正常使用的電話線正確相連 |
|
|
遠程交換機上設置了登錄用戶的認證方式及認證方式對應的其它設置,請參見表2-3 |
在與交換機直接相連的Modem上進行以下配置(與終端相連的Modem不需要進行如下配置)。
AT&F ----------------------- Modem恢複出廠設置
ATS0=1 ----------------------- 設置自動應答(振鈴一聲)
AT&D ----------------------- 忽略DTR信號
AT&K0 -----------------------
禁止流量控製
AT&R1 -----------------------
忽略RTS信號
AT&S0 -----------------------
強製DSR為高電平
ATEQ1&W ----------------------- 禁止Modem回送命令響應和執行結果並存儲配置
在配置後為了觀察Modem的設置是否正確,可以輸入AT&V命令顯示配置的結果。
& 說明:
各種Modem配置命令及顯示的結果有可能不一樣,具體操作請參照Modem的說明書進行。
& 說明:
通過Console口利用Modem撥號進行遠程登錄時,使用的是AUX用戶界麵,交換機上的配置與通過Console口進行本地登錄時交換機的設置有如下區別:
l 通過Console口利用Modem撥號進行遠程登錄時,Console口傳輸速率要低於Modem的傳輸速率,否則可能會出現丟包現象。
l Console口的其它屬性(Console口校驗方式、Console口的停止位、Console的數據位)均采用缺省值。
交換機上具體配置與登錄用戶采用的認證方式有關,配置用戶的認證方式請參見表2-3。
詳細配置請參見“2.4 認證方式為None時Console口登錄方式的配置”。
詳細配置請參見“2.5 認證方式為Password時Console口登錄方式的配置”。
詳細配置請參見“2.6 認證方式為Scheme時Console口登錄方式的配置”。
第一步:在通過Modem撥號登錄以太網交換機之前,需要先在以太網交換機上為不同的登錄認證方式做相應的配置。請參見2.4 認證方式為None時Console口登錄方式的配置、2.5 認證方式為Password時Console口登錄方式的配置、2.6 認證方式為Scheme時Console口登錄方式的配置的描述。
第二步:在與以太網交換機直接相連的Modem上進行配置,請參見4.2.1 與交換機直接相連的Modem上的配置的描述。
第三步:如圖4-1所示,建立遠程配置環境,在PC機(或終端)的串口和以太網交換機的Console口分別掛接Modem,Modem與可正常使用的電話線正確相連。
第四步:在遠端通過終端仿真程序和Modem向以太網交換機撥號(所撥號碼應該是與以太網交換機相連的Modem的電話號碼),與以太網交換機建立連接,如圖4-2至圖4-4所示。
圖4-4 在遠端PC機上撥號
第五步:如果配置驗證方式為Password,在遠端的終端仿真程序上輸入已設置的登錄口令,出現命令行提示符(如<H3C>),即可對以太網交換機進行配置或管理。需要幫助可以隨時鍵入“?”,具體的配置命令請參考本手冊中相關部分的內容。
& 說明:
Modem用戶登錄時,如果交換機上AUX用戶界麵未作任何設置,則缺省可以訪問命令級別為3級的命令。有關命令級別的描述請參見“命令行接口”部分的介紹。
S5100-SI/EI係列以太網交換機提供內置的WEB Server,用戶可以通過WEB網管終端(PC)登錄到交換機上,利用內置的WEB Server以WEB方式直觀地管理和維護以太網交換機。
交換機和WEB網管終端(PC)都要進行相應的配置,才能保證通過WEB網管正常登錄交換機。
表5-1 通過WEB網管登錄交換機需要具備的條件
|
對象 |
需要具備的條件 |
|
交換機 |
配置交換機VLAN接口的IP地址,交換機與WEB網管終端間路由可達,具體配置請參見“IP地址-IP性能”、“路由協議”部分中的內容 |
|
配置欲登錄的WEB網管用戶名和認證口令 |
|
|
WEB網管終端(PC) |
具有IE瀏覽器 |
|
獲取要登錄交換機的VLAN的IP地址、用戶名及口令 |
第一步:在通過WEB方式登錄以太網交換機之前,用戶先正確配置以太網交換機VLAN1接口的IP地址(VLAN1為交換機的缺省VLAN)。請參見3.5.1 通過終端Telnet到以太網交換機。
第二步:在以太網交換機上配置欲登錄的WEB網管用戶名和認證口令。
# 配置WEB用戶名為admin,密碼為admin,用戶級別設為3(管理級用戶)
<H3C> system-view
[H3C] local-user admin
[H3C-luser-admin] service-type telnet level 3
[H3C-luser-admin] password simple admin
第三步:搭建WEB網管遠程配置環境,如圖5-1所示。
圖5-1 搭建WEB網管遠程運行環境
第四步:用戶通過PC與交換機相連,並通過瀏覽器登錄交換機。在WEB網管終端(PC)的瀏覽器地址欄內輸入http://10.153.17.82(WEB網管終端和以太網交換機之間要路由可達),瀏覽器會顯示WEB網管的登錄驗證頁麵(如圖5-2所示)。
圖5-2 WEB網管登錄頁麵
第五步:輸入在交換機上添加的用戶名和密碼,“語言”下拉列表中選擇中文,點擊<登錄>按鈕後即可登錄,顯示中文WEB網管主頁麵。
如果通過header命令設置了login banner信息,則用戶使用WEB方式訪問以太網交換機時,在顯示用戶登錄驗證頁麵之前顯示banner頁麵,頁麵內容為通過header命令設置的login banner信息,在banner頁麵單擊<繼續>按鈕則進入用戶登錄驗證頁麵,通過登錄驗證後進入WEB網管主頁麵;如果沒有通過header命令設置login banner信息,則用戶使用WEB方式訪問以太網交換機時,直接進入用戶登錄驗證頁麵。
表5-2 WEB登錄顯示banner信息配置過程
|
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
配置登錄以太網交換機時的login顯示信息 |
header login text |
必選 缺省情況下,沒有配置顯示信息 |
l
用戶通過WEB方式登錄以太網交換機;
l
要求在用戶登錄以太網交換機時顯示banner頁麵。
圖5-3 通過WEB方式訪問交換機時顯示banner信息組網圖
# 進入係統視圖。
<H3C> system-view
# 設置通過WEB方式訪問以太網交換機時顯示的login banner信息為“Welcome”。
[H3C] header login %Welcome%
配置完成後,在用戶終端(PC)的瀏覽器地址欄內輸入以太網交換機的IP地址(用戶終端和以太網交換機之間要路由可達),瀏覽器會顯示login banner信息頁麵,如圖5-4所示。
圖5-4 通過WEB方式訪問交換機時顯示banner信息界麵
單擊<繼續>按鈕則進入用戶登錄驗證頁麵,通過登錄驗證後進入WEB網管主頁麵。
表5-3 關閉/啟動WEB Server
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
關閉WEB Server |
ip http shutdown |
必選 缺省情況下,WEB Server處於啟動狀態 |
|
啟動WEB Server |
undo ip http shutdown |
必選 |
& 說明:
為防止惡意用戶對未使用SOCKET的攻擊,提高交換機的安全性,HTTP服務對應的TCP 80端口會在進行相應的配置後開啟/關閉:
l 在使用undo ip http shutdown命令啟動WEB Server時,打開TCP 80端口;
l 在使用ip http shutdown命令關閉WEB Server時,關閉TCP 80端口。
用戶可通過NMS(Network Management Station,網管工作站)登錄到交換機上,通過交換機上的Agent模塊對交換機進行管理、配置。NMS和Agent之間運行的協議為SNMP(Simple Network Management Protocol,簡單網絡管理協議),具體介紹請參見“SNMP-RMON”部分。
NMS端和交換機上都要進行相應的配置,才能保證通過NMS正常登錄交換機。
表6-1 通過NMS登錄交換機需要具備的條件
|
對象 |
需要具備的條件 |
|
交換機 |
配置交換機VLAN的IP地址,交換機與NMS間路由可達,具體配置請參見“IP地址-IP性能”、“路由協議”部分中的內容 |
|
配置SNMP基本功能,請參見“SNMP-RMON”部分 |
|
|
NMS(網管工作站) |
NMS網管工作站進行了正確配置,具體配置請參見NMS附帶的網管手冊 |
圖6-1 通過NMS方式登錄組網環境
用戶可以通過以下配置,對Telnet Server、Telnet Client指定源IP地址或者源接口,增加了業務的可管理性和安全性。
為Telnet業務報文指定的源IP為Loopback接口或者VLAN接口的IP。通過配置Loopback虛接口或者閑置VLAN接口的IP為Telnet業務報文的指定源IP,使Telnet Client和Telnet Server之間傳輸報文無論通過交換機的哪個接口都使用指定接口的源IP,隱藏了實際通信接口的IP地址,起到了防止外部攻擊的作用,提高了安全性。同時,有時服務器會限製隻有某些IP才可以訪問它,在客戶端上使用源IP特性可以避免連接不上服務器。
分為用戶視圖下的配置和係統視圖下的配置,用戶視圖下的配置隻對本次操作有效,而係統視圖下的配置對之後的每次操作都有效。
表7-1 在用戶視圖下配置Telnet業務報文指定源IP
|
操作 |
命令 |
說明 |
|
為Telnet Client指定源IP地址 |
telnet { hostname | ip-address }
[ service-port ] source-ip ip-address |
可選 |
|
為Telnet Client指定源接口 |
telnet { hostname | ip-address }
[ service-port ] source-interface interface-type interface-number |
可選 |
表7-2 在係統視圖下配置Telnet業務報文指定源IP
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
為Telnet Server指定源IP地址 |
telnet-server source-ip ip-address |
可選 |
|
為Telnet Server指定源接口 |
telnet-server source-interface interface-type interface-number |
可選 |
|
為Telnet Client指定源IP地址 |
telnet source-ip ip-address |
可選 |
|
為Telnet Client指定源接口 |
telnet source-interface interface-type interface-number |
可選 |
& 說明:
l
指定的ip-address必須為本設備地址,當指定的ip-address不是本設備地址時,命令提示配置不成功。
l
指定的接口必須存在,當指定接口不存在時,命令提示配置不成功。
l
如果指定了源IP或者源接口,必須保證Telnet Server和Telnet Client的指定IP或者接口之間路由可達。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置業務報文指定源IP後的運行情況,通過查看顯示信息驗證配置的效果。
表7-3 配置Telnet業務報文指定源IP顯示
|
操作 |
命令 |
說明 |
|
顯示當前為Telnet Client設置的源IP地址 |
display telnet source-ip |
display命令可以在任意視圖下執行 |
|
顯示當前為Telnet Server設置的源IP地址 |
display telnet-server source-ip |
& 說明:
本章中涉及ACL的定義請參考“ACL”部分的描述。
交換機可以對不同登錄方式的用戶進行控製,如表8-1所示。
|
登錄方式 |
控製方式 |
實現方法 |
詳細說明 |
|
Telnet |
通過源IP對Telnet用戶進行控製 |
通過基本ACL實現 |
|
|
通過源IP、目的IP對Telnet用戶進行控製 |
通過高級ACL實現 |
||
|
通過源MAC對Telnet用戶進行控製 |
通過二層ACL實現 |
||
|
SNMP |
通過源IP對SNMP網管用戶進行控製 |
通過基本ACL實現 |
|
|
WEB |
通過源IP對WEB網管用戶進行控製 |
通過基本ACL實現 |
|
|
強製在線WEB網管用戶下線 |
通過命令行實現 |
確定對Telnet的控製策略,包括對哪些源IP、目的IP、源MAC進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。
表8-2 通過源IP對Telnet用戶進行控製
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl number acl-number [ match-order
{ auto | config } ] |
缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { deny | permit } [ rule-string
] |
必選 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP對Telnet用戶進行控製 |
acl acl-number { inbound | outbound } |
必選 inbound:對Telnet到本交換機的用戶進行ACL控製 outbound:對從本交換機Telnet到其他交換機的用戶進行ACL控製 |
本配置需要通過高級訪問控製列表實現。高級訪問控製列表的序號取值範圍為3000~3999。
表8-3 通過源IP、目的IP對Telnet用戶進行控製
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入高級ACL視圖 |
acl number acl-number
[ match-order { auto | config } ] |
必須 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { deny | permit } protocol [ rule-string ] |
必選 用戶可以根據需要配置對相應的源IP、目的IP進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源IP、目的IP對Telnet用戶進行控製 |
acl acl-number { inbound | outbound } |
必選 inbound:對Telnet到本交換機的用戶進行ACL控製 outbound:對從本交換機Telnet到其他交換機的用戶進行ACL控製 |
本配置需要通過二層訪問控製列表實現。二層訪問控製列表的序號取值範圍為4000~4999。
表8-4 通過源MAC對Telnet用戶進行控製
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入二層ACL視圖 |
acl number acl-number
|
- |
|
定義子規則 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必選 用戶可以根據需要配置對相應的源MAC進行過濾的規則 |
|
退出ACL視圖 |
quit |
- |
|
進入用戶界麵視圖 |
user-interface [ type ] first-number [ last-number ] |
- |
|
引用訪問控製列表,通過源MAC對Telnet用戶進行控製 |
acl acl-number inbound |
必選 缺省情況下,不對Telnet用戶進行ACL控製 |
通過源IP地址對Telnet登錄用戶進行控製,僅允許源IP為10.110.100.52的Telnet用戶訪問交換機。
圖8-1 對Switch的Telnet用戶進行ACL控製
# 定義基本訪問控製列表。
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2000] quit
# 引用訪問控製列表。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] acl 2000 inbound
H3C係列以太網交換機支持通過SNMP網管軟件進行遠程管理。網管用戶可以通過SNMP方式訪問交換機。
通過源IP對SNMP網管用戶進行控製需要下麵兩個步驟:
(2)
引用訪問控製列表,對通過SNMP方式訪問交換機的用戶進行控製
確定對SNMP網管用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。
表8-5 通過源IP對SNMP網管用戶進行控製
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl number acl-number [ match-order { auto | config } ] |
必須 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { deny | permit } [ rule-string ] |
必選 |
|
退出ACL視圖 |
quit |
- |
|
在配置SNMP團體名的命令中引用訪問控製列表 |
snmp-agent community { read | write } community-name
[ acl acl-number | mib-view view-name ]* |
可選 缺省情況下,SNMPv1和SNMPv2c使用團體名來進行訪問 |
|
在配置SNMP組名的命令中引用訪問控製列表 |
snmp-agent group { v1 | v2c } group-name [ read-view read-view ] [ write-view
write-view ] [ notify-view notify-view
] [ acl acl-number ] snmp-agent group v3 group-name [ authentication | privacy ] [ read-view
read-view ] [ write-view write-view
] [ notify-view notify-view ] [ acl acl-number ] |
可選 缺省情況下,snmp-agent group v3命令配置采用不認證、不加密方式 |
|
在配置SNMP用戶名的命令中引用訪問控製列表 |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl acl-number ] snmp-agent usm-user v3 user-name group-name [ cipher ] [
authentication-mode { md5 | sha } auth-password [ privacy-mode des56 priv-password ] [ acl acl-number ] |
可選 |
& 說明:
配置SNMP團體名、組名和用戶名的命令中引用的訪問控製列表可以是不同的訪問控製列表。
SNMP團體名屬性是SNMPv1、SNMPv2c版本的一個特性,因此在配置SNMP團體名的命令中引用訪問控製列表對使用SNMPv1、SNMPv2c的網管係統起到了過濾作用。
SNMP組名、用戶名屬性是SNMPv2c及以上版本的一個特性,因此在配置SNMP組名、用戶名的命令中引用訪問控製列表對使用SNMPv2c及以上版本的網管係統起到過濾作用。如果同時在這兩個命令中配置了ACL控製功能,則交換機會對網管用戶的這兩個屬性都進行過濾。
通過源IP地址對SNMP網管用戶進行控製,僅允許IP地址為10.110.100.52的SNMP網管用戶訪問交換機。
圖8-2 對SNMP網管用戶進行ACL控製
# 定義基本訪問控製列表。
<H3C> system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2000] quit
# 引用訪問控製列表,僅允許來自10.110.100.52的SNMP網管用戶訪問交換機。
[H3C] snmp-agent community read aaa acl 2000
[H3C] snmp-agent group v2c groupa acl 2000
[H3C] snmp-agent usm-user v2c usera groupa acl 2000
H3C係列以太網交換機支持通過WEB進行遠程管理。WEB用戶可以通過HTTP協議訪問交換機。
通過源IP對WEB用戶進行控製需要下麵兩個步驟:
(2)
引用訪問控製列表,對WEB網管用戶進行控製
確定對WEB網管用戶的控製策略,包括對哪些源IP進行控製,控製的動作是允許訪問還是拒絕訪問。
本配置需要通過基本訪問控製列表實現。基本訪問控製列表的序號取值範圍為2000~2999。
表8-6 通過源IP對WEB網管用戶進行控製
|
配置步驟 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建或進入基本ACL視圖 |
acl number acl-number
[ match-order { auto | config } ] |
必選 缺省情況下,匹配順序為config |
|
定義子規則 |
rule [ rule-id ] { deny | permit } [ rule-string
] |
必選 |
|
退出ACL視圖 |
quit |
- |
|
引用訪問控製列表對WEB網管用戶進行控製 |
ip http acl acl-number |
可選 缺省情況下,不對WEB網管用戶進行ACL控製 |
網絡管理員可以通過命令行強製在線WEB網管用戶下線。
表8-7 強製在線WEB網管用戶下線
|
配置步驟 |
命令 |
說明 |
|
強製在線WEB網管用戶下線 |
free web-users { all
| user-id user-id | user-name user-name } |
必選 該命令在用戶視圖下執行 |
通過源IP地址對WEB網管用戶進行控製,僅允許IP地址為10.110.100.52的WEB網管用戶訪問交換機。
圖8-3 對WEB網管用戶進行ACL控製
# 定義基本訪問控製列表。
<H3C> system-view
[H3C] acl number 2030
[H3C-acl-basic-2030] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2030] quit
# 引用編號為2030的訪問控製列表,僅允許來自10.110.100.52的WEB用戶訪問交換機。
[H3C] ip http acl 2030
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
